Das Threatlabz von Zscaler hat eine neue Kampagne aufgedeckt, die einen Infostealer namens Tweaks (auch bekannt als Tweaker) an Roblox-User verbreitet. Die Malware-Akteure nutzen dafür beliebte, legitime Plattformen wie Youtube und Discord, um der Erkennung durch Webfilter-Blocker zu entgehen. Die schädlichen Dateien werden als Pakete zur Bildwiederholungs-Optimierung (Frames Per Second, FPS) getarnt, die nach Aktivierung die Systeme der User mit der Tweaks-Malware infizieren.
Da fast die Hälfte (45 Prozent) der Roblox-User jünger als 13 Jahre sind, besteht die Gefahr, dass die Malware auch auf weitere Systeme im gleichen Haushalt übergreift. Somit können gegebenenfalls die Arbeitsgeräte der Eltern in Mitleidenschaft gezogen werden, die im Home-Office-Netz benutzt werden. Auf diese Weise gefährdet eine erfolgreiche Infektion nicht nur die Roblox Account-Daten, sondern kann auch die Daten und das Gerät selbst kompromittieren.
Roblox hat eine beträchtliche Fanbasis von 71,5 Millionen aktiven Nutzern täglich. Diese Menge macht die Gaming-Plattform zu einem attraktiven Ziel für Cyber-Angreifer. Da über die Plattform unterschiedlichste Spiele und digitale Erlebniswelten verbreitet werden, nimmt das Anwendererlebnis und damit eine optimierte Performance über FPS eine wichtige Rolle für diese Zielgruppe ein. Die Angreifer setzen gezielt auf das User-Verhalten, da sich diese die Optimierungstools für die Hardware über Youtube und Discord ziehen. Da die Videospiel-Industrie heute einen Wert von rund 455,27 Milliarden US-Dollar hat, erstaunt es nicht, dass Hacker sensible Daten der User erbeuten und zu Geld machen wollen.
Die Angreifer machen sich Youtube-Tutorials zunutze und verleiten User unter dem Vorwand zur Optimierung des Systems beizutragen dazu, ihre Antiviren-Software zu deaktivieren. In der Beschreibung dieser Videos sind Links zu den Discord-Gruppen der Angreifer enthalten. Sobald die jungen User diesen Gruppen beitreten, stellen die Angreifer ihnen Links zu bösartigen Dateien zur Verfügung, die als Spielverbesserungen und -modifikationen getarnt sind. Der Stealer ist Powershell-basiert und exfiltriert sensible Daten wie Benutzerinformationen, Standort, Wi-Fi-Profile und Passwörter, Roblox-IDs und Details zur Spielwährung. Sobald sensible Daten erbeutet wurden, werden sie über einen Discord-Webhook an den vom Angreifer kontrollierten Server gesendet.
Die Malware-Akteure nutzen den guten Ruf der Youtube- und Discord-Communitys für ihre Machenschaften aus, um ihre Opfer dazu zu verleiten, die Malware herunterzuladen – in einigen Fällen sogar gegen eine Bezahlung. Um diese Risiken zu minimieren, sollten Roblox-User und alle anderen Spieler nur legitime Anwendungen aus seriösen und sicheren Quellen verwenden und dabei unbekannte oder ungeprüfte Herkunftsorte vermeiden. Durch die Einhaltung dieser Vorsichtsmaßnahmen können Spieler ihre Cyber-Sicherheitsmaßnahmen verbessern und sich vor potenziellen Malware-Bedrohungen schützen.
Info: Weitere technische Details und Beispiele der Angriffsmuster sind im ThreatLabz-Blog nachzulesen: https://www.zscaler.com/blogs/security-research/tweaks-stealer-targets-roblox-users-through-youtube-and-discord
#Zscaler
